Bыполнениe лабораторной работы 1

Цель работы

Закрепить практические навыки устранения уязвимостей и защиты корпоративных сервисов.

Задание

Провести анализ уязвимостей и устранить их на примере MS Exchange и сопутствующих сервисов.

Выполнение лабораторной работы

Уязвимость «PROXYLOGON»

Proxylogon представляетсобой SSRF- уязвимость, позволяющую обойти аутентификацию и выдать себя за администратора

Сначала мы завели карточку с описание уязвимости, ее индикаторами и рекомендациями по устранению

карточка

Устраняем уязвимость, ограничиваем доступ к панели управления

1.1

Далее нужно обнаружить последствия и убрать их. В нашем случае это - Exchange China Chopper

удаление файла веб-оболочки

Уязвимости «ROCKETCHAT»

CVE-2021-22911 представляет собой сочетание из двух SQL-инъекций. CVE-2022-0847(Dirty Pipe) представляет собой уязвимость повышения привилегий, находящаяся в самом ядре Linux версии 5.8 и выше

Завели карточку с описание уязвимости, ее индикаторами и рекомендациями по устранению

карточка

После обнаружения уязвимости (Dirty Pipe) , проверяем версию ядра Линукс.

7

Далее меняем в файле конфигурации строку GRUB_DEFAULT=0 на GRUB_DEFAULT=”1>X”

8

Перезагружаем систему и проверяем версию ядра

9

10

11

12

Также нам нужно было сброосить пароль, используя данную почту, мы сбросили пароль и и через терминал получили ссылку для сброса пароля. далее мы столкнулись с проблемой непринятия токена, но этоу проблему можно было проигнорировать и войти уже с новым паролем, после чего предстагается проийти двухфакторную аутентификацию.

13

Для устранения второй уязвимости мы ставим запрет выполнения JavaScript на стороне сервера БД, для этого мы отредактировали файл конфигурации БД /etc/mongod.conf, добавив строчку javascriptEnabled: False

14

15

Готово! Уязвимость и последствия на данный узел устранены

16

Уязвимость «WPDISCUZ»

Это уязвимость в плагине для создания комментариев WpDiscuz версии с 7.0.0 по 7.0.4 включительно. Уязвимость позволяетполучить (удаленное RCE выполнение кода)

Обнаружив уязвимость, мы отключили плагин WpDiscuz, точнее мы его полностью удалили.

17

Далее нам нужно обновить плагин, мы обновили до версии 7.6.34

18

После этого требуется нейтрализовать последствие, для того необходимо сформировать резервную копию с помощью плагина Updraft Backup/Restore

19

Бинго!

20

21

Для того, чтобы уязвимость устранилась, нам потребоваллсь устранить последствие в виде вредоносного соединения. Через терминал мы вывели информацию об активных соединениях и, соответсвенно, закрыли ненужные, тем самым закрыли вредоносный сокет.

22

23 4

24

Выводы

В ходе выполнения лабораторной работы:
- Были выявлены и устранены уязвимости на различные узлы и их последствия.
- Система приведена в безопасное состояние.

:::